Peut-on rendre la cybersécurité plus écologique ?
Wavestone et le Campus Cyber ont cherché à répondre à cette question dans le cadre du groupe de travail « Cyber4Tomorrow ». Ensemble, nous avons développé une première méthodologie pour calculer les émissions de gaz à effet de serre (GES) liées à la cybersécurité, identifier les mesures les plus émettrices, et proposer des stratégies de réduction. Nous avons récemment été rejoints par l’ADEME (Agence de la transition écologique), qui identifie également la cybersécurité comme un domaine d’action clé.
Aujourd’hui, la cybersécurité représente une part significative et croissante de l’IT des entreprises, avec en moyenne 5,7% du budget IT dédié à la sécurité selon le Cyber Benchmark réalisé par Wavestone en 2023. À ce titre, elle influence l’ensemble du système d’information. Jusqu’alors relativement peu analysés par les équipes sécurité, il devient indispensable d’intégrer les enjeux climatiques à leurs activités.
L’ensemble des mesures de sécurité exigées par les référentiels internationaux comme le NIST Cybersecurity Framework a été analysé pour identifier les exigences les plus émettrices. Après ce premier filtrage, plus de 50 mesures impactantes ont été isolées. Leurs émissions ont ensuite été évaluées, sur des périmètres réels et de tailles variées, pour identifier les premiers résultats et les pistes d’amélioration concrètes. Cet article revient sur les enseignements majeurs de cette première phase d’analyse. La méthodologie complète est disponible dans un article dédié.
5 à 10%
Potentiel de réduction des émissions cyber
(à niveau de risque constant)
Cette étude souligne le rôle crucial des Responsables de la Sécurité des Systèmes d’Information (RSSI) dans la transition écologique.
Ils ne doivent pas se contenter d’exécuter le plan numérique responsable de leur entreprise, mais l’enrichir. Pour cela, ils peuvent initier des actions ciblées sur leur périmètre, en particulier en modifiant la mise en œuvre des exigences de sécurité, permettant de réduire encore davantage les émissions – potentiellement jusqu’à 10%.
Les RSSI peuvent également influencer l’écosystème cyber, en dehors de leur organisation, pour tendre vers plus de sobriété. Ces enjeux doivent être pris en compte par toutes les parties prenantes, y compris les fournisseurs ou les régulateurs.
Identifier les thématiques de sécurité les plus émettrices : attention aux idées reçues
Les résultats de notre étude invalident plusieurs clichés : les pratiques cyber les plus gourmandes en énergie et en ressources ne sont pas toujours les plus évidentes…
Le chiffrement ne représente ainsi qu’environ 1% des émissions totales. Les algorithmes de chiffrement sont très souvent optimisés, avec un impact positif sur l’efficacité énergétique. Néanmoins, par effet rebond, l’empilement des couches de chiffrement peut avoir un impact important sur la consommation globale des SI et nécessitera certainement des études approfondies.
En tête des émissions, la résilience et les différents mécanismes de secours (serveurs dupliqués, serveurs de sauvegarde et PC de secours), suivie par les périphériques utilisateurs spécifiques (comme ceux exigés pour les prestataires et les administrateurs en plus de leurs périphériques du quotidien), représentent près de 50% des émissions de la cybersécurité.
Équilibrer risques cyber et empreinte carbone : zoom sur 10 mesures incontournables
Peu de RSSI seront enclins à réduire leur impact carbone si cela entraîne une augmentation de leurs risques ou remet en cause leur conformité.
L’examen des émissions GES serre liées à la cybersécurité intègre donc nécessairement un deuxième axe : la couverture des risques. L’enjeu n’est pas seulement de réduire son empreinte carbone, mais aussi de maintenir (voire d’améliorer !) la protection et la résilience de l’organisation.
Dans cette optique, grâce à une matrice risques/émissions GES, nous avons analysé les 10 mesures de cybersécurité les plus émettrices et les avons mises en relation avec leur niveau de criticité. Le positionnement sur la matrice permet de se concentrer sur des thématiques avec un fort potentiel de réduction d’émissions, mais un impact minime voire inexistant sur le niveau de risque.
A titre d’exemple, en tenant compte de l’ensemble du cycle de vie, l’attribution de postes de travail dédiés aux prestataires est une source importante d’émissions. Pourtant, des méthodes alternatives garantissent un niveau de risque équivalent ou proche, tout en émettant moins, comme l’usage d’ordinateurs virtuels mutualisés (VDI). Suivant le contexte et les risques identifiés, cette mesure est à privilégier pour réduire l’empreinte carbone sans réduire son niveau de protection.
Réduire l'impact environnemental de la cybersécurité : 4 actions clés
Parmi les mesures de sécurité citées précédemment, quatre actions permettent d’optimiser son impact environnemental sans augmenter le niveau de risque.
Les calculs et éléments chiffrés ci-dessous sont issus de situations réelles issues du terrain, mais doivent être adaptés et transposés à chaque contexte en se référant à la méthodologie développée par Wavestone et le Campus Cyber.
L’opérationnalisation de ces actions constitue une première étape dans la mise en œuvre d’une initiative globale de réduction des émissions liées à la cybersécurité. Elles peuvent également permettre des gains de coûts et d’efficience à long terme, grâce à la mise en place de mesures d’optimisation qui vont aussi simplifier le travail des équipes cyber au quotidien.
La résilience est la mesure la plus carbonée, avec 36% du total des émissions liées à la cybersécurité.
L’optimisation des redondances et des sauvegardes permet de réduire ce poste et, ainsi, gagner plusieurs tonnes de CO2eq par an : ne pas tout dupliquer, virtualiser certains éléments de redondances, réduire la durée de conservation des sauvegardes, ou encore réduire le nombre des postes de travail de secours.
Vu la criticité du sujet, ces changements doivent être fait en connaissance de cause et avec précaution, mais les impacts environnementaux peuvent être importants.
A lui seul, l’IAM représente 10% du total des émissions.
Cela s’explique par la multiplication des outils utilisés dans les périmètres concernés. Il s’agira ici de consolider les cas d’usage sur un nombre limité de solutions.
Un autre axe clé de réduction : mettre en place des méthodes d’authentification ne nécessitant pas d’équipements physiques dédiés (token, cartes à puce…).
L’optimisation des journaux techniques générés par les applications et l’infrastructure est cruciale, compte tenu de leur potentiel de réduction et la facilité de mise en œuvre.
A titre d’exemple, Wavestone a réduit de 56% le volume de logs collectés en réduisant leur verbosité et leur duplication.
La mutualisation de systèmes par l’utilisation d’un prestataire de services peut également être un axe important de réduction.
Le dernier axe de travail envisagé concerne les entreprises fournissant des postes de travail à leurs prestataires externes.
En effet, cette mesure représente plus de 9% des émissions de la cybersécurité, en raison principalement des coûts énergétiques de la fabrication du matériel.
Les entreprises peuvent préférer fournir des VDI (Virtual Desktop Infrastructure), plutôt qu’un ordinateur dédié, aux fournisseurs qui en possèdent déjà un. Cette mesure doit cependant être adaptée en fonction du niveau de sensibilité du sujet de travail des partenaires et des risques à couvrir.
Une collaboration entre les équipes cyber et IT pour allonger la durée de vie des postes de travail permet également de réduire significativement les émissions (des postes des prestataires, mais aussi de tous ceux utilisés dans l’organisation).
RSSI : pionniers d'une cybersécurité durable et responsable
Chez Wavestone, nous sommes convaincus que le RSSI peut jouer un rôle clé dans les initiatives de durabilité. Son positionnement lui permet d’impulser des changements significatifs en faveur d’une cybersécurité moins émettrice, en complément des initiatives de Green IT.
Oui, mais comment faire ?
Premièrement, assurez-vous que l’équipe sécurité est partie prenante du plan Green IT de votre organisation. Soyez force de proposition : sensibilisez vos équipes à l’importance de la cybersécurité durable, adoptez une politique d’achat responsable pour vos fournisseurs de solutions et équipements de sécurité, et exploitez pleinement les logiciels cyber.
Ensuite, mesurez l’empreinte carbone de la cybersécurité dans votre organisation et identifiez les principaux postes d’émissions. Pour des conseils pratiques sur la façon de s’évaluer, découvrez notre méthodologie.
Impliquer la globalité de l'écosystème cyber dans la transition écologique
La cyber sustainability (« cyberdurabilité ») devient un enjeu majeur pour les équipes de cybersécurité et un incontournable parmi les responsabilités des RSSI. Cependant, ni l’un ni l’autre ne peuvent agir seuls dans leur organisation. Le passage à l’échelle est crucial.
L’heure est à l’action collective !
Wavestone et le Campus Cyber ont exploré des pistes d’action concrètes pour stimuler la réflexion sur la sustainability au sein de la communauté cyber et ont identifié les pistes d’actions suivantes :
- Organismes de normalisation (NIST, ISO…) — Intégrer le critère de durabilité au sein même des standards.
- Régulateurs (BCE, Union Européenne…) — Prendre en compte l’impact environnemental des obligations réglementaires.
- Fournisseurs de solutions— Optimiser les solutions, pour une efficacité maximale avec une consommation minimale et en évitant l’obsolescence programmée.
- Recherche académique— Développer de nouvelles solutions plus durables, ainsi que des méthodologies d’évaluation scientifique des impacts environnementaux de technologies avancées comme le chiffrement.
Unissons nos efforts pour forger ces nouvelles solutions durables et faire avancer la cause de la cyber sustainability. Vous avez tous un rôle à jouer ! Si le sujet vous intéresse et que vous souhaitez vous impliquer, rejoignez le groupe de travail « Cyber4Tomorrow » du Campus Cyber.